ExpressVPN is de afgelopen week overal in het nieuws geweest, en niet op een goede manier. Omdat we ExpressVPN hier bij ZDNet aanbevelen als een van de beste VPN's die er zijn, heb ik een stroom van lezersvragen gekregen die om een objectieve lezing van het nieuws vroegen. In dit artikel ga ik mijn best doen.
Sitrep
Laten we beginnen met een sitrep (situatierapport). Er zijn twee belangrijke items die tangentieel gerelateerd zijn.
Het eerste bericht is dat Kape Technologies plannen heeft aangekondigd om ExpressVPN over te nemen voor $986 miljoen. Ik maak me hier wel zorgen over omdat Kape ooit werd beschouwd als een malwareprovider. Ik zal hier straks meer over vertellen.
Het tweede item is een rapport in Reuters waaruit blijkt dat ExpressVPN CIO Daniel Gericke een van de drie mannen is die een boete van $ 1,6 miljoen heeft gekregen van het Amerikaanse ministerie van Justitie voor het hacken en bespioneren van Amerikaanse burgers namens de regering van de VAE ( Verenigde Arabische Emiraten).
Ik zal elk van deze rapporten afzonderlijk bespreken en vervolgens enkele gedachten met u delen over hoe deze situaties van invloed kunnen zijn op uw beslissing om ExpressVPN te gebruiken (of niet te gebruiken).
Kape Technologies
Kape Technologies heeft een nogal ingewikkelde geschiedenis. Volgens een rapport in Forbes, werd een bedrijf genaamd Crossrider in 2011 opgericht door “miljardair Teddy Sagi, een seriële ondernemer en ex-gevangene die in de jaren negentig gevangen werd gezet voor handel met voorkennis. Zijn grootste geldmaker tot nu toe is goksoftwareontwikkelaar Playtech, ” en Koby Menachemi.
Menachemi was een ontwikkelaar voor Unit 8200, een Israëlische inlichtingendienst voor signalen die verantwoordelijk is voor het hacken en verzamelen van gegevens (beschouw het als deels CIA, deels NSA en deels middelbare school, omdat de eenheid tieners inhuurt en opleidt in hack- en codeervaardigheden).
Crossrider's bedrijf was advertentie-injectie. Weet je nog dat bedrijven zoals Yahoo je probeerden te overtuigen om hun browserextensie te downloaden met hun zoekbalk? Het bedrijf van Crossrider was het creëren van tools waarmee ze advertenties op de webpagina's van andere bedrijven konden injecteren, waarbij soms zelfs advertenties werden genegeerd die werden betaald om te worden weergegeven op de sites die werden gehackt.
Advertentie-injectie ging langs de grens tussen gewoon scummy en malware zijn. Forbes meldde dat de anti-malware van Symantec software op basis van Crossrider's product als malware identificeerde, deels omdat het product in feite de advertentie-inkomsten stal van de sites die de gebruikers bezochten, en deels omdat het alle gegevens verzamelde die het tijdens het proces kon vinden.
Volgens Publift, een advertentiepartnerservice die is opgericht door ex-Googlers, bestaat de advertentie-injectie nog steeds. Maar Google vecht er nu al zo'n vijf jaar tegen, wat betekent dat het lang niet zo'n lucratieve onderneming is als het ooit was.
Volgens een rapport uit 2018 in de Israëlische zakenkrant Globes, was Kape Technologies een rebranding-inspanning van de toen relatief nieuwe Crossrider-CEO Ido Erlichman. De aandelenkoers van Crossrider was op de London Stock Exchange gedaald tot een dieptepunt van £ 0,27 en het bedrijf was op zoek naar een nieuwe strategie.
Wat is een betere strategie voor een bedrijf dat zich toelegt op het overhevelen van de gegevens en oogbollen van gebruikers dan zich te vestigen in het enige gebied van cyberbeveiliging waar gebruikers geobsedeerd zijn door anonimiteit en informatiebeveiliging?
Je kunt de ironie doorsnijden met een mes.
In ieder geval begon de nieuw hernoemde Kape Technologies aan een overname-binge. Het bedrijf begon in 2017 met kopen en verwierf CyberGhost VPN voor ongeveer $ 9 miljoen. Vervolgens kwam in 2018 Mac-antivirusbedrijf Intego voor $ 16 miljoen. Een paar maanden later slokte Kape een andere VPN-provider, ZenMate, op voor ongeveer $ 5 miljoen. Een jaar later, in 2019, gaf Kape 95 miljoen dollar uit voor Private Internet Access, destijds een van de bekendste VPN-providers.
Na een beursintroductie in 2020 op de London Stock Exchange (die $ 115 miljoen opbracht) en een jaar met recordwinsten waarin de pandemie en de bezorgdheid over de cyberbeveiliging van thuis uit de vraag naar VPN dreven, zat Kape hoog. In maart van dit jaar kocht het bedrijf Webselenese voor $ 149 miljoen. Dit is een verdere discussie waard.
Op het eerste gezicht is het moeilijk om vast te stellen wat Webselenese doet. Het bedrijf omschrijft zichzelf als “een online platform dat gespecialiseerd is in consumentgerichte privacy- en beveiligingsinhoud.” Wat betekent dit? Volgens investeringssite The Twenties Trader bezit Webselense twee zeer spraakmakende beoordelingssites, VPNMentor en Wizcase. Volgens Alexa (de verkeersmonitoringservice van Amazon, niet de stemassistent van Amazon – ik weet het, het is verwarrend), VPNMentor heeft een rangorde van 5.807. Wizcase heeft een rangorde van 7.280.
Als je hier diep in geïnteresseerd bent, kun je het beste de verklaring van ExpressVPN lezen. Het is een beetje een wonder. Het bedrijf zegt verder dat het bedrijf wist dat Gericke betrokken was bij spionagezaken, maar niets afwist van illegale, immorele of dikmakende zaken. Het bedrijf legt uit dat het nodig is om iemand in te huren die “doordrenkt en ervaren is in de aanval” om de beste verdediging op te bouwen. Vervolgens verklaart het hoe het zijn diensten heeft beschermd tegen corruptie van binnenuit en vervolgens zijn diensten heeft gehard tegen aanvallen van buitenaf.
Vanaf 17 september bevestigde het bedrijf zijn steun aan Gericke en maakte het geen plannen om hem te beëindigen.
Edward Snowden en zijn glazen huis
Herinner je je Edward Snowden nog? In 2013 en 2014 gebruikte Snowden veel van mijn column inches. Voor degenen onder u die gedoemd zijn de geschiedenis te vergeten, Edward Joseph Snowden was een voormalig NSA-medewerker en CIA-aannemer die meer dan een miljoen uiterst geheime documenten stal en vervolgens lekte van de regeringen van de Verenigde Staten, Australië en Groot-Brittannië.
Na het lek rende hij van de VS naar Hong Kong en vervolgens van Hong Kong naar Rusland, waar hij asiel kreeg na ongeveer 40 dagen en 40 nachten op de Sheremetyevo Alexander S. Pushkin International Airport te hebben gewoond. In 2020 vroeg en kreeg Snowden een permanente verblijfsvergunning in Rusland. Vervolgens vroeg hij in december van dat jaar het dubbele Russisch-Amerikaanse staatsburgerschap aan.
In de jaren die volgden op zijn diefstal en ontsnapping naar Rusland, heeft Snowden behoorlijk naam gemaakt. Een film was gebaseerd op zijn heldendaden. En hij verdient de kost door op afstand te spreken voor gewillige en goedgelovige toehoorders.
Dus hoe kwam meneer Snowden in ons verhaal terecht? Het bleek dat hij op ExpressVPN en Daniel Gericke woog toen het nieuws vorige week bekend werd. Op 15 september tweette hij: “Als je een ExpressVPN-klant bent, zou je dat niet moeten zijn.” Dit kwam naar buiten de dag na het Reuters-rapport over Gericke en ExpressVPN en werd opgepikt door mediabronnen op internet.
Je hebt waarschijnlijk de uitdrukking gehoord: “mensen die in glazen huizen wonen, mogen geen stenen gooien.” Nou, hier is Snowdens glazen huis. Volgens het diepgaande rapport van Reuters over Project Raven werd hij twee maanden voor Snowdens noodlottige diefstal van topgeheime informatie van de Amerikaanse regering aanbevolen voor werk bij de militaire aannemer Booz Allen Hamilton (die hem vervolgens uitbesteedde aan de drieletterige instanties) door Lori Stroud, die later zelf door Marc Baier werd gerekruteerd voor Project Raven. Baier werkte samen met Snowden bij NSA Hawaii. Baier was ook een van de drie mannen die werden aangeklaagd door het ministerie van Justitie, samen met Gericke van ExpressVPN.
Dus, terwijl we dieper in ironie waden, hebben we een voormalige NSA-medewerker die miljoenen documenten van de Amerikaanse regering stal en naar Rusland rende, die klaagt over de werkgever van een voormalige collega van een voormalige collega, die beiden betrokken waren bij duistere activiteiten, maar niets zo enorm crimineel als zijn eigen acties.
Wat nu?
Ok, dus nu ben je op de hoogte. U kent het bedrijf dat zojuist ExpressVPN heeft overgenomen en zijn ietwat duistere verleden en op zijn minst onethische juking van de statistieken als het gaat om VPN-recensies. U kent de achtergrond van de CIO van ExpressVPN.
Maar hoe zit het met ExpressVPN zelf? De belangrijkste vraag is: moet je het gebruiken of overslaan?
Wat ik gebruik
Een van de meest gestelde vragen die ik krijg, is welke VPN-service ik gebruik. Deze week ging het erom of ik ga stoppen met het gebruik van ExpressVPN als mijn VPN-service.
Hier is de harde waarheid: ik gebruik geen commerciële VPN-service. Ik hou niet van het idee dat mijn gegevens door de servers van de VPN-spelers gaan. Maar ik ben een beetje een buitenbeentje. Ik heb lang mijn eigen bare-metal Linux VPN-servernetwerk gerund, verspreid over een paar cloudinfrastructuurproviders. Ik hack al jaren mijn eigen Linux-kernelmods en ik voel me net zo op mijn gemak bij het opzetten van een reeks servers die verkeer stuiteren als ik 's ochtends een kopje koffie zet.
Ik test alle VPN-services die ik bekijk, maar slechts voor een beperkte tijd en alleen op speciale testmachines. Alles waar ik me zorgen over maak, is gedocumenteerd in mijn beoordelingen. Tot nu toe heb ik, althans bij de topspelers, niets veel ergers gevonden dan een VPN-verbinding die aangeeft dat de verbinding via een VPN verloopt.
Maar het is belangrijk op te merken dat ik persoonlijk alleen een VPN gebruik voor communicatiebeveiliging op luchthavens, hotels en coffeeshops – die ik tegenwoordig veel minder bezoek. Ik hoef mijn locatie niet te verdoezelen om illegaal sportbeperkingen te omzeilen, of om goedkoop uit te zijn en niet te betalen voor nieuwe afleveringen van Star Trek Discovery of Picard.
Ik ben ook geen dissident, of iemand die wegrent uit een gewelddadige relatie. Ik doe geen financiële transacties online als ik niet op mijn thuisnetwerk ben. Als zodanig heb ik niet alle services en alle clients nodig die worden aangeboden door veel van de VPN-serviceproviders die ik heb geprofileerd.
Geen van de VPN-services die ik aanbeveel zijn slecht — ik heb ze gewoon niet nodig in mijn dagelijks leven omdat ik er zelf een heb gebouwd.
Maar hoe zit het met ExpressVPN?
Hoe zit het met ExpressVPN? Veranderen deze onthullingen iets? Om dat voor jezelf te beantwoorden, moet je jezelf drie vragen stellen.
Hoe goed is ExpressVPN voor mijn behoeften?
Toen ik naar ExpressVPN keek, noemde ik het “een gebruiksvriendelijke VPN met alles voor het midden van de weg”. Ik ontdekte dat een ExpressVPN-verbinding via Security Firewall Ltd werd geleid, een bedrijf met een verrassend hoge Google-fraudeclassificatie. ExpressVPN nam contact op om te zeggen dat Security Firewall slechts een van de vele bedrijven is waarvan het infrastructuur huurt, en dat het netwerk veilig is. Je kunt de verklaring van het bedrijf lezen in mijn recensie.
Ook: ExpressVPN-recensie: een prima VPN-service, maar is het de prijs waard?
Kape heeft een verleden gehad dat op gespannen voet staat met de missie van een VPN-aanbieder. Kape, toen het nog Crossrider was, vond het leuk om gebruikersgegevens op te zuigen, waarschijnlijk om aan adverteerders te verkopen. Zal het dat blijven doen? Ik weet het niet, maar het zou echt dwaas zijn als dat zo was. De VPN-markt is een veel winstgevender bedrijf dan advertentie-informatica, en Kape's VPN-merken zijn nu de gouden ganzen. Het zou krankzinnig zijn om die melkkoeien te riskeren (ik weet het, de gemengde metafoor doet pijn), ten gunste van de verkoop van de gegevens van zijn gebruikers.
Hoe zit het met het houden van Gericke op het personeel?
De blogpost van het bedrijf deed er alles aan om te laten zien hoe het Gericke's toegang beperkt, zodat hij geen baaaad-dingen doet. Maar ik ben het eens met het uitgangspunt dat je aanvallende krijgers nodig hebt als je in oorlog bent. Ik weet niet zeker of Gericke de CIO van het bedrijf moet blijven met enige infrastructuurverantwoordelijkheid, maar het is belangrijk om een stal te houden met mensen die de vijand kennen en begrijpen.
Dus wat is de bottom line?
Eén ding dat mij regelmatig wordt gevraagd, is of ExpressVPN (of een andere VPN) informatie gaat delen met de FBI (of noem je favoriete inlichtingendienst). De heersende wijsheid is dat VPN-leveranciers die zich buiten de verschillende “Eyes”-verdragen voor het delen van inlichtingen bevinden, op de een of andere manier veiliger zijn voor degenen die informatie verbergen voor toegang door de overheid. Dit is over het algemeen niet waar. Zoals ik in mijn analyse van NordVPN heb besproken, hebben de meeste VPN-providers genoeg voetafdruk in MLAT-verdragslanden dat als een drieletterig bureau uw informatie wil, het deze ook zal krijgen.
Dus, tenzij je een zeer serieuze dissident (of, denk ik, een crimineel) bent die op de vlucht is voor de overheid, is de hele kwestie van jurisdictie slechts VPN-theater ten behoeve van een goede marketinghype. En als u vertrouwt op een VPN-service om uw leven en vrijheid te beschermen, waarom vertrouwt u dan op iets dat u online leest voor uw waarheid? Ik heb je net laten zien dat de grootste VPN-recensiesites eigendom zijn van een VPN-conglomeraat. U moet zelf een zeer serieus onderzoek en testen doen, als u echt veilig wilt zijn.
Als je ExpressVPN momenteel gebruikt voor algemeen veilig computergebruik (zoals je mail checken in de plaatselijke coffeeshop) en je vindt het leuk, dan zou ik niet zeggen dat je het moet opgeven. Als je op een van de Kape-merken vertrouwt voor een situatie van leven en dood, zou ik zeggen dat het waarschijnlijk het risico niet waard is.
Als je op zoek bent naar een VPN, lees dan alle beoordelingen en probeer ze uit. De meeste geven je dertig dagen, dus kijk hoe ze echt voor je werken. Nogmaals, ik zou ExpressVPN niet per se afwijzen vanwege deze rapporten, maar het is aan jou om je risiconiveau in te schatten.
Halverwege de jaren tachtig bereidde de Amerikaanse president Ronald Wilson Reagan zich voor op een top met de Sovjet-president Michail Sergejevitsj Gorbatsjov en wilde hij een band opbouwen met zijn Sovjet-tegenhanger. Toen Reagan sprak met de Russische geschiedenisgeleerde Susanne Massie, een Amerikaanse, stelde ze hem voor aan de uitdrukking doveryai, no provenryai. In het Engels is dat vertrouwen, maar verifiëren. Reagan hield blijkbaar zo veel van de uitdrukking dat hij hem te veel gebruikte, tot ergernis van Gorbatsjov.
In ieder geval raad ik aan om ExpressVPN zo te benaderen: vertrouwen, maar verifiëren. We houden in de gaten hoe het bedrijf zich gedraagt. Doet Kape nog iets anders dat aangeeft dat hun morele kompas scheef staat? Wordt de toegang van Gericke beperkter of verlaat hij het bedrijf? Zijn gegevens beveiligd door ExpressVPN minder veilig?
Ik geloof niet dat we ExpressVPN nu al aan de schandpaal hoeven te hangen. Al het slechte nieuws is raakvlakken met haar activiteiten. Maar ik zou het bedrijf adviseren heel voorzichtig te werk te gaan, de nieuwe meesters bij Kape verantwoordelijk te houden, en zowel te weten waar de lijn is als stevig aan de engelenkant van die lijn te blijven.
Je kunt mijn dagelijkse projectupdates volgen op sociale media. Zorg ervoor dat je me volgt op Twitter op @DavidGewirtz, op Facebook op Facebook.com/DavidGewirtz, op Instagram op Instagram.com/DavidGewirtz en op YouTube op YouTube.com/DavidGewirtzTV.
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 